重要的几个概念:
-
SYN: 发起新的连接 -
ACK:确认序号有效。 seq序号-
ack序号: 只有在ACK=1的情况下有效,ack序号 = seq序号+ 1 -
FIN: 释放一个连接
三次握手协议
三次握手.png
-
客户端发起SYN=1,表示需要新建连接,并且带上随机数seq=x (Client进入SYN_SENT状态) -
服务端在收到数据包之后,根据SYN=1知道客户端是希望建立新的连接,所以服务端发送的信息里面SYN和ACK都置为1,并且对客户端上传上的seq序号=x+1==>ack=x+1,并且带上自己生成的随机数seq=y(Server进入SYN_RCVD) - 客户端收到服务端返回的包后,
确认ACK是否等于1并且确认ack是否等于x+1,如果正确则将ACK=1,ack=y+1(Client和Server进入ESTABLISHED) - 完成三次握手,正确的连接建立成功,服务端和客户端可以开始传输数据了
为什么要用三次握手,而不是两次握手呢??
如果客户端发送第一次握手之后,因为网络不好,消息在网络中走的有点久,等到消息到达服务端的时候,消息已经失效了(但是这个时候服务端并不知晓),假设没有第三次握手,服务端在收到消息做出响应之后,就建立起新的连接,一直等待客户端发送消息,但是客户端已经认为失效了。这样就会导致服务端的资源被白白浪费。采用三次握手就是为了防止这种情况的发生,server会因为收不到确认的报文,就知道client并没有建立连接。这就是三次握手的作用。
SYN攻击:
在三次握手过程中,Server发送SYN-ACK之后,收到Client的ACK之前的TCP连接称为半连接(half-open connect),此时Server处于SYN_RCVD状态,当收到ACK后,Server转入ESTABLISHED状态。SYN攻击就是Client在短时间内伪造大量不存在的IP地址,并向Server不断地发送SYN包,Server回复确认包,并等待Client的确认,由于源地址是不存在的,因此,Server需要不断重发直至超时,这些伪造的SYN包将产时间占用未连接队列,导致正常的SYN请求因为队列满而被丢弃,从而引起网络堵塞甚至系统瘫痪。SYN攻击时一种典型的DDOS攻击,检测SYN攻击的方式非常简单,即当Server上有大量半连接状态且源IP地址是随机的,则可以断定遭到SYN攻击了,使用如下命令可以让之现行:#netstat -nap | grep SYN_RECV
四次挥手
Tcp四次挥手.png
-
客户端发送FIN=1标识需要释放连接,并且带上自己的随机数seq=u -
服务端接收到FIN后知道客户端要释放连接,做出响应ACK=1,并将ack=u+1,最后带上自己的随机数 seq=v -
服务端向客户端发送FIN,用来关闭服务端到客户端的数据传输,这里用到的ack也是=u+1 -
客户端收到FIN后,进入TIME_WAIT状态,并对FIN的做出应答 -
服务端收到应答后,进行CLOSE状态
为什么建立连接是三次握手,断开连接确实四次挥手呢?
因为关闭连接时,A向B发送FIN,仅仅表示A不再发送数据了,但是还是可以接收数据,此时B也未必已经把所有数据都发送给A了,所以B可以立即发送FIN做响应关闭,也可以接着把未发完的数据发完了,在发送FIN。
为什么客户端会在发送完最后一个ACK后,还要等待2MSL.
因为客户端返回的ACK可能在网络传输中丢失,服务端会超时重传FIN,客户端就能在这2MSL的时间内接收到这个FIN,再次做出ACK。
网友评论